Se expone malware que drena Ethereum disfrazado de bots comerciales

SentinelLABS reportó estafas de criptomonedas que utilizan bots de trading falsos para minar Ethereum y otras monedas. Los estafadores supuestamente usan cuentas antiguas de YouTube y comentarios estratégicamente ubicados para crear una falsa percepción de legitimidad y dirigirse a los traders de criptomonedas a través de redes sociales y la distribución de contenido de video.

Los actores de amenazas anuncian bots falsos de trading de criptomonedas mediante vídeos de YouTube dirigidos a los usuarios. Los vídeos explican cómo implementartracinteligentes en Remix Solidity Compiler, y los estafadores presentan estas herramientas como bots legítimos de arbitraje o MEV con fines de lucro.

Los estafadores usan videos de YouTube para distribuir bots de comercio de MEV falsos

Los videos muestran un intento deliberado de usar cuentas antiguas de YouTube para parecer creíbles. Primero, los estafadores publican listas de reproducción de noticias sobre criptomonedas y contenido fuera de tema para mejorar la clasificación de las cuentas y hacerlas parecer fuentes de criptomonedas confiables y legítimas.

Muchos videos parecen generados por IA basándose en características de audio y visuales. Los narradores también tienen tonos de voz poco naturales y solo miran directamente a la cámara. No aparecen ángulos de perfil de forma constante en estas presentaciones falsas.

Normalmente, el contenido generado con IA ahorra costos en comparación con la contratación de actores humanos para los videos. El video fraudulento más exitoso no utilizó IA. Este video en particular generó más de $900,000 en fondos robados a las víctimas.

Un canal de YouTube, @todd_tutorials, publicó instrucciones paso a paso para la implementación detracmaliciosos. El video se volvió privado tras el inicio de la investigación, pero mostraba características de IA. Otro canal, @SolidityTutorials, presentó contenido similar en presentaciones de abril de 2024.

@Jazz_Braze creó el de estafa , titulado "Tutorial del bot MEV". El video obtuvo más de 387,000 visualizaciones y parecía más legítimo que otros. La cuenta subió casi 100 videos de cultura pop entre 2022 y 2024.

El operador de la cuenta probablemente se ganó su credibilidad con el tiempo gracias a la constancia en las subidas de contenido. Las cuentas antiguas de YouTube se venden por entre 6 y miles de dólares en los canales de Telegram. Las secciones de comentarios se mantienen mayoritariamente positivas gracias a la moderación, que filtramaticlos comentarios negativos.

Lostracinteligentes maliciosos ocultan las direcciones de los atacantes

Los bots de trading falsos contienen contratos inteligentes maliciosostractractractractractractractractraccomo objetivo Ethereum y otras redes blockchain para el robo de fondos. Los atacantes utilizan diversas técnicas de ofuscación para ocultar las direcciones de sus billeteras a las víctimas.

La dirección de la billetera controlada por el atacante permanece oculta dentro del código deltracinteligente, lo que dificulta su detección. SentinelLABS encontró múltiples métodos de ofuscación en diferentestrac, incluyendo operaciones XOR. La concatenación de cadenas y las conversiones de decimales grandes también ocultan eficazmente las billeteras de los atacantes.

Lostracparecen ser bots MEV legítimos que monitorean las diferencias de precios entre las plataformas de intercambio. Las víctimas creen que están implementando herramientas de arbitraje rentables para el trading automatizado.

Existen múltiples direcciones de atacantes únicas, lo que dificulta determinar cuántos actores operan. La misma billetera apareció de forma consistente en variostracinteligentes armados.

La campaña genera más de $900,000 en Ethereum robado

Las campañas de estafa obtuvieron distintos grados de éxito financiero en diferentes operaciones. Una estafa reciente, realizada en abril de 2025, recibió 7,59 Ethereum por un valor aproximado de 28.000 dólares de las víctimas. La estafa del video SolidityTutorials obtuvo 4,19 ETH, con un valor total aproximado de 15.000 dólares.

La campaña de video de Jazz_Braze destaca como la más rentable, generando enormes ganancias. La billetera del atacante recaudó 244,9 ETH, con un valor aproximado de $902,000, provenientes de depósitostrac. Estos fondos se retiraron posteriormente a otras direcciones mediante transferencias masivas.

Los fondos robados se transfirieron a 24 direcciones Ethereum diferentes tras su recolección. Los atacantes distribuyeron el dinero en múltiples billeteras para evitar su detección y trac. Este patrón de distribución sugiere sofisticadas operaciones de lavado de dinero tras las estafas.

Desde principios de 2024, se han llevado a cabo diversas campañas con distintos índices de éxito. Las estafas siguen buscando nuevas víctimas a través de redes sociales. Los atacantes gestionan las secciones de comentarios eliminando las opiniones negativas para mantener una falsa legitimidad.

Los usuarios a menudo recurren a plataformas como Reddit cuando los comentarios de YouTube son censurados.